Dans la lignée de la norme internationale ISO/IEC 27002, le comité technique ISO/IEC JTC 1/SC 27, en charge des aspects de sécurité des Technologies de l’Information et de la Communication (TIC), a récemment publié une nouvelle norme internationale qui propose des lignes directrices pour la mise en place de contrôles de sécurité applicables à la fourniture et à l’utilisation de services de cloud computing.
Cette norme, ISO/IEC 27017:2015, Technologies de l'information -- Techniques de sécurité -- Code de pratique pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage, constitue donc un pas important vers la sécurisation du cloud puisqu’elle offre aux fournisseurs et aux clients de services cloud :
- Des indications supplémentaires pour la mise en œuvre des contrôles pertinents spécifiés dans la norme ISO/IEC 27002:2013 ;
- Des contrôles additionnels avec des lignes directrices de mise en œuvre qui concernent spécifiquement les services de cloud computing.
Rappelons qu’en 2014, une première norme spécifique à la sécurité des informations personnelles identifiables (PII) stockées dans le cloud, ISO/IEC 27018:2014, avait été publiée par le comité technique ISO/IEC JTC 1/SC 27. Cette dernière permet aux fournisseurs de services cloud d’offrir à leurs clients différentes garanties sur la protection de leurs PII, par exemple :
- La localisation du stockage des informations et l’entité en charge de leur traitement ;
- La capacité à restituer, transférer ou éliminer en toute sécurité, toute information personnelle sur demande ;
- La notification de tout incident de sécurité impliquant la divulgation non autorisée d’informations personnelles des clients, afin qu’ils soient en mesure de se conformer à leurs propres obligations en matière de notification ;
- Le respect des exigences légales obligatoires en matière de divulgation des informations personnelles des clients ;
- Etc.
Si vous souhaitez obtenir davantage d’informations sur ces normes internationales et/ou que vous êtes intéressés par une participation aux travaux de normalisation du comité technique ISO/IEC JTC 1/SC 27, vous pouvez nous contacter à l’adresse anec@ilnas.etat.lu ou encore compléter une déclaration d’intérêt à la normalisation qui nous permettra de vous recontacter dans les meilleurs délais.